7 choses que vous avez toujours voulu savoir… pour un monde sans mot de passe

0
85

Pendant des années, le mot de passe a été la norme en termes d’identification, bien qu’il offre peu de garanties. A présent, nous en sommes arrivés au point où nos vies personnelles et professionnelles sont presque entièrement digitalisées, ce qui rend la gestion des mots de passe très difficile.

Avis d’expert par Yubico – Cela conduit à des coûts annexes très importants et à des attaques ciblées sur les serveurs d’accréditation. En remplaçant le mot de passe par une méthode plus simple et plus sécurisée d’authentification, Yubico transforme complètement la manière dont des millions d’utilisateurs accèderont à leurs informations sur le net.

7 choses que vous avez toujours voulu savoir sur FIDO2, WebAuthn et un monde sans mot de passe

Pendant des années, le mot de passe a été la norme en termes d’identification, bien qu’il offre peu de garanties. A présent, nous en sommes arrivés au point où nos vies personnelles et professionnelles sont presque entièrement digitalisées, ce qui rend la gestion des mots de passe très difficile. Cela conduit à des coûts annexes très importants et à des attaques ciblées sur les serveurs d’accréditation. En remplaçant le mot de passe par une méthode plus simple et plus sécurisée d’authentification, nous transformons complètement la manière dont des millions d’utilisateurs accèderont à leurs informations sur le net. 

Yubico a travaillé avec Microsoft, Google, l’Alliance FIDO et W3C pour créer et lancer des standards libres qui préparent à un nouveau monde d’identification sans mot de passe. Le standard FIDO2 est le nouveau standard qui permet de remplacer l’identification faible basée sur les mots de passe par une authentification forte, via un hardware, en utilisant la cryptographie à clé publique (asymétrique).

Qu’est-ce qu’une identification sans mot de passe ? Quelle est la différence entre FIDO2 et WebAuthn ?

Si un service (par exemple Dropbox) intègre WebAuthn et rend l’authentification sans mot de passe possible, alors un usager peut utiliser un dispositif physique compatible avec FIDO2, comme une YubiKey, pour se connecter à ce service sans avoir besoin de mot de passe. Au moment de se connecter, l’usager n’aura qu’à brancher sa clé à un port USB pour s’authentifier. 

FIDO2/WebAuthn utilise le même système de cryptographie que FIDO U2F, vérifiant les origines des tentatives de connexion pour prévenir les tentatives de phishing, mais avec le grand avantage de ne pas avoir besoin d’utiliser des mots de passe et des identifiants comme premier facteur de connexion. Ainsi, aucune information ne peut être récupérée à distance. Dans bien des cas, c’est une méthode plus sécurisée que les autres formes d’authentification à facteurs multiples. 

L’annonce de la prise en charge de WebAuthn par Dropbox, Chrome et Firefox (et de CTAP1 pour ces deux derniers), a déclenché une vague d’intégration sur d’autres services en ligne. Depuis peu, Microsoft Edge prend également en charge WebAuthn, CTAP1 et CTAP2, ce qui en fait le navigateur avec le plus large choix d’identifications du marché.

Est-ce que FIDO2 correspond à une authentification à facteur unique, à deux facteurs, ou à multiple facteurs ? 

Il existe un large choix de méthodes d’identification (utilisant les Yubikeys de Yubico) :

  • Authentification sans mot de passe à facteur unique.
  • Authentification à deux facteurs (2FA)
  • Authentification à facteurs multiples (MFA)

FIDO2, un identifiant basé sur un hardware à chiffrement (comme la Security Key de Yubico), peut remplacer un identifiant et un mot de passe comme facteur unique d’authentification forte. Les utilisateurs peuvent également continuer à utiliser la Security Key comme second facteur. Enfin, pour plus de sécurité, un authentifiant FIDO2 à chiffrement matériel peut aussi être combiné avec un facteur additionnel, comme un code PIN ou un geste biométrique, pour mettre en place une authentification forte à facteurs multiples.

Comment FIDO2 se compare à FIDO U2F et les autres solutions 2FA en termes de sécurité ? 

L’authentification à facteur simple avec FIDO2 est forte. Dans de nombreux cas, cette authentification à facteur simple est plus sécurisée que les autres formes d’authentification à deux facteurs (comme le SMS), et aucun secret ne peut être volé à distance en utilisant FIDO2. Le facteur unique FIDO2, tout comme FIDO U2F, utilise la cryptographie à clé publique avec vérification de l’émetteur pour prévenir le phishing, mais avec un atout supplémentaire : il n’y a pas besoin d’identifiants et de mots de passe comme premier facteur pour identifier l’utilisateur.

Y a t-il possibilité d’utiliser FIDO2 en conjonction avec un facteur additionnel comme un code PIN ou un geste biométrique ? Est-ce recommandé ?

Les authentifiants par chiffrement matériel qui prennent en charge CTAP2 peuvent ajouter une étape de vérification en demandant aux utilisateurs d’entrer un code PIN ou d’effectuer un geste biométrique afin de déverrouiller l’authentifiant. Cet usage dépend des menaces potentielles propres à la situation de chacun. Par exemple, une banque peut envisager d’utiliser un code PIN en plus d’une clé de sécurité pour un plus haut niveau de protection, alors qu’une entreprise utilisant un réseau partagé de machines ne l’envisagera pas forcément. 

La Security Key de Yubico prend en charge CTAP2, et peut être utilisée aussi bien avec authentification par chiffrement matériel (sans recours à un identifiant) seul, ou avec usage d’un code PIN en plus. 

Quelle est la différence entre un code PIN et un mot de passe ?

Un code PIN a pour but de déverrouiller la clé de sécurité afin qu’elle puisse exécuter sa tâche. Un PIN est stocké localement sur votre machine, et il n’est jamais partagé sur le réseau. Alors qu’un mot de passe est envoyé par le réseau au service pour validation, et il peut donc être intercepté. De plus, le PIN, ne présentant pas les risques du mot de passe, peut être plus court, plus simple, et n’a pas besoin d’être changé souvent, ce qui est un avantage pour les départements IT des entreprises. 

En quoi FIDO2 impacte l’obligation qu’ont les entreprises à remplacer leurs mots de passe tous les 90 jours ? 

Il n’y a aucun remplacement nécessaire avec FIDO2, étant donné qu’il n’y a pas de mot de passe. 

Et si je perds ma Security Key Yubico ? Sans mot de passe, je ne peux pas accéder à mon compte ? 

Une bonne pratique est de toujours vous assurer que vous avez un backup de votre Security Key quelque part. La Security Key ne contient aucune information identifiable, donc même si quelqu’un venait à la trouver, elle ne pourrait pas être utilisée pour accéder à vos comptes sans connaître l’identité du propriétaire de la clé et quels comptes sont enregistrés. La réalité est que le premier vecteur d’attaque pour les particuliers comme pour les entreprises est l’accès d’un compte à distance, que ce soit par le vol des identifiants, le phishing ou des attaques man-in-the-middle. FIDO2 et la Security Key Yubico sont conçus spécialement pour se prémunir contre ces menaces.  

Pour ceux qui sont concernés par ces attaques physiques, l’option est d’exiger une authentification multi-facteurs, avec un PIN pour une protection supplémentaire. De cette manière, si un individu obtient une Security Key volée, il aura tout de même besoin de connaitre quels comptes y sont liés, et d’avoir accès au PIN pour se connecter.   

Un avantage majeur de ce standard ouvert d’authentification est que le nombre de mises en œuvre est sans limite. Avec le soutien de Microsoft Edge, Google Chrome ou Mozilla Firefox (qui sont clients de Yubico) et de Dropbox (qui l’utilise comme service), WebAuthn a un bel avenir devant lui et nous sommes sur la bonne voie pour un monde sans mot de passe.

 

Note : cet article contient des liens affiliés